ヘッダーをスキップ
Oracle Collaboration Suiteスパム対策構成
リリース2(9.0.4)
部品番号: B15731-01
  目次へ移動
目次

戻る
戻る
 

Copyright © 2004, Oracle.All rights reserved.

OracleはOracle Corporationおよびその関連会社の登録商標です。その他の名称は、Oracle Corporationまたは各社が所有する商標または登録商標です。

Oracle® Collaboration Suite

スパム対策構成

リリース2(9.0.4)

部品番号: B15731-01

原典情報: B15614-01 Oracle Collaboration Suite Anti-Spam Configuration Release 2 (9.0.4)

2005年3月

このマニュアルでは、エンタープライズおよびインターネット環境においてスパムが原因で発生する問題や、スパムを遮断、対処、ブロックするための様々な方法について説明します。

このマニュアルでは、次の内容について説明します。

1 概要

スパムという用語は、複数のメーリング・リスト、個人またはニュース・グループ宛てに、要求していないのに無差別に送信される商用電子メールを意味します。ジャンク電子メールとも呼ばれます。ジョーク、チェーン・メールなど、商業目的ではないスパムもあります。

2 スパム問題の概要

どの組織でも対処している主な2つのスパム問題は、オープン・リレーおよび迷惑電子メールです。

2.1 オープン・リレー

オープン・リレーとは、第三者が組織内部の電子メール・リソースを使用して、組織外部から(インターネットからなど)の電子メール・トラフィックを別の組織外部の受信者宛てにルーティングできる設定のことです。

図1 オープン・リレー

オープン・リレー


2.2 迷惑電子メール

通常、組織内のユーザーは、どこの誰からでも電子メールを受信できるように設定されています。ただし、組織のリソースがビジネスに関係ない迷惑メールの受信および格納に使用されることがあります。迷惑電子メールへの一般的な対処方法は、着信電子メール・メッセージの内容を評価して、それがスパムかどうかを判断することです。

3 スパムの阻止

電子メール・システムをスパムから保護するには、組織では次の3つの方法を使用できます。

3.1 オープン・リレーの無効化

オープン・リレーによるスパムを阻止するには、組織では次の処置をとることができます。

  • 電子メール・アプリケーションでオープン・リレーのパラメータを無効にします。

  • 既知のソースにのみ、メッセージ転送エージェント(MTA)を電子メール・リレーとして使用することを許可します。

3.2 ネイティブの電子メール・スパム対策機能の構成

ほとんどの電子メール・システムには、スパム対策機能があらかじめ組み込まれており、特定の送信者からの電子メールをブロックするように設定できます。この場合、次のような特性に基づいた評価が行われます。

  • IPアドレス

  • システム名

  • 組織のルールや規定に関連する特定のドメイン

3.3 内容でフィルタリングするソフトウェアの実装

電子メールを1通ごとに評価して、メッセージがスパムかどうかを判断することによって、スパムをブロックできます。サード・パーティ・ベンダー製のスパム対策ソフトウェアでは、電子メール・メッセージをスキャンし、プログラム・ロジックやナレッジ・ベースを適用してスパムを特定します。

4 メッセージ転送エージェントの概要

標準的な電子メール・システムの概略図は、電子メール・クライアント、電子メール・ストアおよびMTAの3つのサービスで構成されています。

MTAは、電子メール・メッセージをメッセージの作成者(送信者)が指定したアドレスに配信します。

図2 標準的な電子メール・システムによる配信

電子メール配信


企業Xのユーザーから企業Yのユーザーへ送信される電子メール・メッセージは、企業Xの1つ以上のMTAを通過して、最終的に着信メールとして企業YのMTAに到達します。組織内部のMTAは、電子メール・クライアントからの電子メール・メッセージを、別のMTAからの場合と同様にルーティングします。実際には、クライアントからMTAへの電子メール・トラフィックとMTAからMTAへの電子メール・トラフィックを区別しないように構成されている電子メール・システムもあります。

UNIX環境で最も一般的なMTAは、Sendmailです。このMTAは、Simple Mail Transfer Protocol(SMTP)を使用して通信を行います。

5 Oracle Emailに組み込まれているスパム対策

Oracleでは、独自のMTAが使用されます。Oracle Email SMTPサーバーでは、Oracleユーザーやドメインがスパム対象になったり、サーバーが外部ドメインによってリレーとして使用されないようにするために、様々な組込みスパム対策方法がサポートされています。

次の表に、様々なスパム対策方法の説明を示します。

方法 説明
リレーのブロック すべてのリレーをブロックするようにSMTPサーバーを設定できます。または、既知のドメインにのみリレーするように設定できます。たとえば、foo.comドメイン内の受信者が受信するすべてのメッセージのリレーを許可するには、「リレー・ドメイン許可」パラメータをfoo.comに設定します。
特定のドメインから受信したメッセージの拒否 「ドメインの拒否」パラメータに、メッセージの受信を許可しないドメインのリストを指定します。
特定の送信者からのメッセージの拒否 「送信者の拒否」パラメータに、メッセージを拒否する送信者のリストを指定します。
特定の受信者宛てのメッセージの拒否 「受信者の拒否」パラメータに、メッセージの受信を許可しない受信者のリストを指定します。
DoS攻撃の阻止 SMTPの「スパム最大フラッド数」およびスパム・フラッド間隔パラメータを使用して、ホストから受信するメッセージ数を制御します。特定のホストからの接続およびメッセージが「スパム最大フラッド数」およびスパム・フラッド間隔パラメータで設定した制限を超えた場合は、このホストからの着信メッセージおよび接続率が「スパム最大フラッド数」レベルを下回るまで、このホストからのすべてのメッセージが拒否されます。

6 Oracle MTAの概要

Oracle MTAでは、電子メールの配信およびルーティング・サービスが、2つの個別のプロセスに分けられます。

6.1 SMTP_IN

SMTP_INプロセスは、着信接続要求をリスニングし、着信メッセージがローカル配信用か、別のMTAにルーティングしてさらに別の場所に配信する必要があるかを判断します。着信メッセージを受信すると、Oracle Internet Directoryサーバーに問い合せ、アドレスを検索および認証し、リライト・ルールに基づいてそのアドレスをリライトします。また、スパム対策ルールも適用します。すべての手順が正常に終了すると、SMTP MTAはメッセージを承認し、宛先アドレスに基づいて対応するキューに挿入します。SMTPプロセスがスパム・チェックを実行するように構成されており、着信クライアント接続がスパム対策要件を満たさない場合には、SMTP MTAはメッセージを拒否します。

6.2 SMTP_OUT

SMTP_OUTプロセスは、メッセージを別のMTAにリレーします。

一部のアプリケーションでは、SMTP_INプロセスを通させずに直接Oracle Emailシステムにメールを挿入できます。このようなアプリケーションでは、Oracle Collaboration Suiteが提供するPL/SQLインタフェースを使用します。定義上、これらのアプリケーションはローカルで、システムによって電子メール配信メカニズムとして信頼されています。

スパム・ポリシー

スパム・ポリシーは、RFC-2505でスパムとして定義されている迷惑電子メールを受信しないように、組織によって定義されるものです。

Oracle Collaboration Suiteを使用すると、MTAサービスのどちらの種類(受信および発信)のスパム対策ポリシーも構成できますが、ほとんどの時間をSMTP_INプロセスの管理に費やすことになります。

Oracle Collaboration SuiteのNNTPサーバーを使用してニュース・サービスを設定する場合は、ニュース・サービスをスパムから保護することもできます。Network News Transport Protocol(NNTP)サーバーのアーキテクチャは、MTAと類似しています。NNTPを対象としたスパムへの対処には、NNTP_INプロセスを使用します。

7 Oracle Emailのスパム対策の構成

Oracle Email MTAでスパム対策機能を構成するには、一般的なスパム対策とOracle Emailの観点による方法の両方について十分理解している必要があります。また、Oracle Collaboration Suiteがインストール済である必要があります。

スパムかどうかを判断するには、いくつかのパラメータと若干のロジックが必要になります。スパム対策の最適な構成方法は、「ポリシー」ページを使用することです。このページは、すべてのOracle Email管理者が使用できます。Oracle Collaboration Suiteで管理者として設定されたユーザーには、Webmailクライアントによって、ウィルス対策やスパム対策のパラメータを設定するためのポリシーのページを含む一連の管理ページが追加で表示されます。「ポリシー」ページでは、Enterprise Manager/Unified Messaging SMTP_INプロセスのスパム対策パラメータの値が自動的に更新されます。


注意:

Oracle Emailの現在のリリースでは、「ポリシー」ページでのスパム対策パラメータのラベルが、Enterprise Manager/Unified Messaging SMTP_INプロセスのラベルと一致していません。ラベルは一致していなくても、これらのパラメータは同一のものです。この不具合(Bug#3228008)は、次の製品リリースで修正される予定です。「ポリシー」ページのスパム対策パラメータとEnterprise Manager/Unified Messaging SMTP_INプロセスのスパム対策パラメータとの対応については、「追加情報」の表を参照してください。

7.1 SMTPの設定

Oracle Collaboration Suiteリリース2(9.0.4)では、スパム対策パラメータをOracle Enterprise Managerインタフェースおよび「ポリシー」ページの2箇所で構成できます。「ポリシー」ページ・インタフェースでの変更は、Oracle Enterprise ManagerのデフォルトのSMTP_INプロセス・レベルに表示されます。逆の場合も同様です。

また、追加のSMTPインスタンスを作成して、個々のインスタンスの設定を変更できます。ただし、Oracle Enterprise ManagerのSMTPインスタンス・レベルでの変更は、「ポリシー」ページには表示されず、プロセスの起動時にデフォルトのSMTP設定を上書きします。また、「ポリシー」ページからのみアクセスできるスパム対策設定もあります。この2つのインタフェースの相違点の詳細は、「追加情報」のスパム対策設定に関する表を参照してください。

スパム対策のポリシーを管理する場合は、次のガイドラインに従ってください。

  • 「ポリシー」ページまたはOracle Enterprise ManagerのデフォルトのSMTP_INプロセスで、スパム対策パラメータを設定します。

  • すべてのスパム設定をSMTP_INインスタンス・レベルでクリアし、SMTP_INのデフォルト設定が上書きされないようにします。デフォルト設定が継承されるように、新しいSMTP_INインスタンスを起動します。

  • 必要に応じて、設定をインスタンス・レベルで調整します。プロセスをリフレッシュして、変更をアクティブ化します。

7.2 スパム対策チェックの有効化または無効化

スパム対策プロセスの「アクティブ」パラメータ(Webmailの「ポリシー」ページの「管理」タブ上にある)を使用すると、すべてのスパム・チェックを有効または無効にできます。このパラメータでは、次のオプションを指定します。

  • 「はい」を選択すると、スパム対策チェックが実行されて、他の関連するすべてのパラメータが読み取られ、使用されます。

  • 「いいえ」を選択すると、スパム対策チェックは実行されません。

組織によっては、MTAが2セット構成されている場合があります。

  • 1つのセットはインターネットに公開されており、外部トラフィックを企業のイントラネットにルーティングします。

  • もうつの1セットは、企業ネットワーク内部にのみ公開されています。これらの内部MTAは、ファイアウォールによって外部アクセスから保護されている必要があります。

従業員は、内部MTAと通信できる必要があります。このため、組織では、内部MTAに対するスパム対策チェックを解除して、保護されているリソースから不要な負荷を取り除きます。

7.3 スパム・チェックの優先順位

通常、SMTP_INプロセスを構成する場合は、信頼できるアドレスと信頼できない(Oracleでは「拒否」という用語を使用します)アドレスのリストを作成および保持します。

メッセージ配信を許可または拒否するようにOracle Emailインストールを構成する場合には、Oracle MTAではより厳しい方法が採用されることに注意してください。たとえば、MTAプロセスで特定のアドレスに対して信頼(「許可」)と拒否(「拒否」)の両方を設定した場合には、プロセスではそのアドレスが受け入れられません。Oracle MTAでは、「拒否」が「許可」より優先されるロジックが採用されています。

たとえば、*.university.eduがホスト・ドメインに関するパラメータで「reject」と「Accept」の両方に追加されている場合は、*.university.eduドメインとして解決されるすべてのホストが拒否されます。

トラステッド・ドメインとは、追加のスパム・チェックなしで信頼できるネットワーク・ドメインのことです。これらのドメインは、「リレー許可」パラメータがFalseに設定されていてもリレーできます。

トラステッドIPとは、追加のスパム・チェックなしで信頼できるサブネットまたはホストのことです。これらのホストは、「リレー許可」パラメータがFalseに設定されていてもリレーできます。

図3 スパム対策ページのネイティブのスパム対策パラメータ

ネイティブのスパム対策


7.4 Oracle MTAプロセスでのメール・フロー

電子メール・メッセージがルーティングされる場合には、いくつかのアクションが実行されます。それぞれのアクションで情報が収集され、電子メール・メッセージを適切に転送するための判断が行われます。この項では、各アクションとネイティブのスパム対策機能がOracle Emailプロセスにどのように適合されているかについて説明します。

7.4.1 アクション1: 接続の確立

DNSホスト名の参照

  • 最初に、クライアントまたは別のMTAが、MTAに電子メール・メッセージをルーティングするようにコンタクトします。まず、接続要求から、接続IPアドレスが解決されます。

  • MTAは、ネットワークのドメイン・ネーム・サーバーを呼び出し、解決したIPアドレスに関連付けられているホスト名を取得します。このプロセスは、DNS参照と呼ばれます。

  • ホスト名から、ホストのドメインを解決できます。

このアクションの終了時に、SMTP_IN(MTA)プロセスは必ずIPアドレスを取得しますが、ドメイン名がない場合もあります(DNS参照が失敗した場合は、ドメインがありません)。

IP DNSホスト名参照は、ネイティブのスパム対策がTRUEに設定されているかどうかにかかわらず必ず実行されます。

ハンドシェイク

SMTP_IN(MTA)プロセスが接続元のMTAから受け取る最初のコマンドは、単純なハンドシェイクです。接続を要求するコンピュータは、HELOコマンドまたはEHLOコマンドのいずれかを送信します。

コンピュータは、このコマンドとともに、ホスト名とみなす情報を送信する必要があります。この情報が、ホストのドメイン名の第2のソースとなります。ただし、IPアドレスのDNS参照が成功している場合、Oracle MTAはこの値を無視します。必ず有効なホスト名が使用されます。

エンベロープ

電子メール・メッセージのルーティング方法を決定する場合に使用される情報は、SMTPセッション中に渡されるエンベロープ情報です。エンベロープとは、Oracle Emailによって使用される、次の3つのアドレス情報で構成される仮想ヘッダーと考えることができます。

  • コンピュータのアドレス: 接続要求情報です。SMTPプロセスは、接続を要求しているコンピュータのIPアドレスを取得します。また、HELOまたはEHLOコマンドからドメイン名を収集することもできます。

  • FROM: 電子メール・メッセージの送信者の電子メール・アドレスです。

  • RCPT TO: 電子メール・メッセージの受信者の電子メール・アドレスです。

コンピュータのアドレスの処理は、作成者と受信者の両方のアドレス・チェックの前またはチェック中に実行されます。コンピュータのアドレスが信頼できない場合には、MTAはそのメッセージを拒否します。

7.4.2 アクション2: 認証

「認証」パラメータは、実際にはスパム対策パラメータではありません。ただし、スパム対策パラメータと連携して機能するため、ここで説明する必要があります。

電子メール・メッセージを受信するホストは、送信者を検証できません。このため、電子メールを宛先ホストへ送信する前に、送信者を検証することをお薦めします。この場合に、「認証」パラメータが関連します。組織では、認証されたSMTPサーバーを使用して電子メールを配信するようにOracle Emailを構成できます。


注意:

「認証」パラメータは、「ポリシー」ページでは設定しません。このパラメータは、Oracle Enterprise ManagerのインバウンドSMTP_INプロセスの「管理」ページで設定します。

Oracle Emailの「認証」パラメータには、リストから次のいずれかに設定できます。

  • 必須: 電子メール・メッセージをルーティングしようとするエンティティは、認証に成功する必要があります。認証に失敗すると接続が終了し、電子メール・メッセージはルーティングされません。

  • オプション: 電子メール・メッセージをルーティングしようとするエンティティは、認証するように選択した場合に認証を実行できます。認証に成功すると、電子メール・メッセージに認証済であることを示すタグが付けられます。認証に失敗すると、電子メール・メッセージは送信されますが、認証されません。

  • なし: SMTP_INプロセスは、SMTP認証をサポートしていないか、またはSMTP認証をサポートしていることを公開していません。

MTAはクライアント宛てまたは別のMTA宛ての電子メール・メッセージをルーティングするため、MTAには3つの異なる設定があります。電子メール・インストールでは、すべての送信者に認証を強制し、認証なしでは電子メールが送信されないようにできます。一般的なものを含め、ほとんどの電子メール・クライアントでは、SMTP認証が認識およびサポートされています。

図4 SMPTP_INプロセスの構成とOracle Enterprise Managerの「認証」パラメータ

SMTP_IN


前述のように、内部MTAは、ユーザー宛ての電子メール配信を要求する外部MTAによる接続を承認します。このような接続に対して、サイトは何の権限もありません。すべての外部ユーザーは、サイトのユーザーに電子メールを送信するために認証を行う必要はありません。

Oracle Emailを使用すると、一部のMTAを内部ユーザーのクライアント用に構成して、認証を強制できます。これらのMTAは、宛先に関係なく電子メール・メッセージをルーティングできます。他のMTAは、外部ユーザーが内部ユーザー宛てに電子メールを送信できるように構成されています。これらのMTAはオプションで認証をサポートしますが、ローカル・ユーザー宛ての電子メールのみをルーティングし、外部ユーザー宛ての電子メールはルーティングしません。

7.4.3 アクション3: ネイティブのスパム対策機能

次の手順は、信頼できるドメインまたは信頼できないドメインに対して実行する一連のアドレス・チェックです。この時点で、MTAでは、すべてのコンピュータのアドレス情報が収集されており、セッションの認証が成功したかどうかが把握されています。電子メールが承認される前に、接続元のアプリケーションによって、ホスト、送信者および受信者の情報が送信される必要があります。この情報が承認されると、電子メール・メッセージの実際のデータが渡されます。

リレーの制御

オープン・リレーとは、送信者と受信者の両方ともがローカル・ユーザーではない電子メール・メッセージの処理を可能にするSMTP電子メール・サーバーです。スパマーは、オープン・リレーを使用して、大量の電子メール・メッセージをルーティングし、電子メールの発信元を偽装します。このため、ネットワーク、コンピュータなどのリソースが不正に使用されないように、リレーを制御する必要があります。

最初のスパム対策チェックとして、MTAによる電子メール・メッセージのリレーが有効になっているかどうかを確認します。「リレー・ブロック」パラメータを構成するには、Webmailクライアントで「ポリシー」ページの「管理」タブに移動します。

「リレー・ブロック」パラメータでは、次のオプションを指定します。

  • True: このオプションを選択すると、次の条件に該当する場合に、SMTP_INプロセスによって電子メール・メッセージが外部ユーザーにルーティングされます。

    • 「許可されているリレー・ドメイン」パラメータに、受信ドメインがリストされている。

    • 他のアドレス・チェック・アクション(「送信者からの接続を拒否」、「送信者のドメインからの接続を拒否」、「ホスト・ドメインからの接続を拒否」および「IPアドレスからの接続を拒否」)によって、プロセスに接続の拒否が指示されない。

  • False: このオプションを選択すると、他のアドレス・チェック・アクション(「送信者からの接続を承認」、「ホスト・ドメインからの接続を承認」および「IPアドレスからの接続を承認」)によってプロセスに接続の信頼が指示された場合にのみ、SMTP_INプロセスで電子メール・メッセージが外部ユーザーにルーティングされます。

  • 認証済: このオプションを選択すると、別のアドレス・チェック・アクション(「送信者からの接続を拒否」、「送信者のドメインからの接続を拒否」、「ホスト・ドメインからの接続を拒否」および「IPアドレスからの接続を拒否」)によってプロセスに接続の拒否が指示されず、接続の認証に成功した場合に、SMTP_INプロセスで電子メール・メッセージが外部ユーザーにルーティングされます。

図5 SMTP_INプロセスと「リレー・ブロック」パラメータの値

リレー・ブロック


ホスト・コンピュータのチェック

最初のアドレス・チェックは、次の4つのパラメータに指定されたコンピュータのアドレスに基づいて実行されます。


注意:

次に示すすべてのフィールドでは、複数の文字列を指定できます。値は改行で区切ります(1行に1つの値)。

  • ホスト・ドメインからの接続を拒否

    ドメインに接頭辞としてアスタリスク文字(*)を指定して、ドメインを表す1文字以上の文字列を表すことができます。アスタリスクの直後にはピリオド(.)が必要です。末尾が同じ文字列の複数のドメインは、アスタリスクを使用して表すことができません。

  • ホスト・ドメインからの接続を承認

    「ホスト・ドメインからの接続を拒否」フィールドと同じ構文を使用します。

  • IPアドレスからの接続を拒否

    IPアドレスに接尾辞としてアスタリスク文字(*)を指定して、1つ以上のIPオクテットを含む文字列を表すことができます。アスタリスクの直前にはピリオド(.)が必要です。先頭と末尾が同じ数字の複数のアドレスは、アスタリスクを使用して表すことができません。

  • IPアドレスからの接続を承認

    「IPアドレスからの接続を拒否」フィールドと同じ構文を使用します。

図6 ホストおよびIPの承認および拒否に関する各フィールドが表示された「ポリシー」ページ

「ポリシー」ページ


IPスパム・チェックの例

単一のMTAを使用して、ローカル・ユーザーの電子メール・クライアントからだけではなく、他の組織のMTAからの着信電子メール・メッセージを承認するとします。ローカル・ユーザーのすべてのアカウントを既知のIPアドレス・バンクから取得した場合は、電子メール・メッセージのルーティング先として単純にこのIPアドレス群のみを信頼し、その他すべてを拒否できます。

たとえば、135.55〜144.25の範囲に3つのクラスBネットワークがある場合は、「IPアドレスからの接続を承認」パラメータを次のように設定します。

135.55.200.*
135.55.230.*
144.25.*

これにより、144.25ネットワーク上のすべてのホスト・コンピュータと、135.55.200および135.55.230サブネット上のすべてのコンピュータによる電子メール・メッセージのルーティングが許可されます。MTAは、これ以外のすべてのコンピュータからの接続要求を拒否します。

ドメイン・スパム・チェックの例

ネイティブのスパム対策機能の実装にトラステッド・ドメインを使用することもできます。たとえば、「ホスト・ドメインからの接続を承認」パラメータを次のように設定します。

*.university.edu

これにより、university.eduのドメイン内部で解決されるすべてのホストが、ローカル・ドメイン・リスト外の受信者宛てに電子メール・メッセージをルーティングできます。それ以外のホストは、ローカル・ドメイン・リスト内の受信者宛てにのみ電子メール・メッセージを送信できます。

「ホスト・ドメインからの接続を拒否」パラメータまたは「IPアドレスからの接続を拒否」パラメータのいずれかを*に設定すると、あらゆるユーザーが拒否されます。「ホスト・ドメインからの接続を承認」パラメータまたは「IPアドレスからの接続を承認」パラメータのいずれかを*に設定すると、拒否リストのいずれかに指定されているユーザーを除き、すべてのユーザーが信頼されます。


注意:

前述のように、拒否パラメータが承認パラメータより優先されます。

NULL値は、空のセットとして処理されます。この4つのパラメータに何も設定されていない場合は、そのチェックが実行されません。送信者のコンピュータのアドレスが4つのパラメータのいずれにも指定されていない場合は、「リレー・ブロック」パラメータが有効になります。

DoS攻撃の阻止

要求やスパムでネットワークにフラッドを発生させることによって、電子メール・サービスのユーザーが必要なサービスを受けられないようにすることをDoS攻撃といいます。

DoS攻撃を阻止するには、Oracle MTAによるホスト・アドレスのチェックで接続情報が拒否されなかった後、他のスパム対策アドレス・チェックを実行する前に、もう1つ最終チェックを実行します。Oracle MTAでは、接続元のホストによる接続とメッセージの数を、一定の間隔でカウントします。カウント中に、メッセージ数と接続数の合計が電子メール管理者の設定したしきい値レベルを超えると、ネットワーク・フラッドであるとみなされます。この場合、Oracle MTAは、この期間が終了するまで、該当ホストからのすべての着信メッセージおよび接続を拒否します。ただし、この期間中、Oracle MTAに接続している他のホストからの着信メッセージおよび接続は、引き続き承認されます。

「サービス拒否攻撃を阻止」パラメータを構成するには、Webmailクライアントで「ポリシー」ページの「管理」タブに移動します。図7に、例を示します。

「サービス拒否攻撃を阻止」パラメータの値は、次のとおりです。

  • スパム最大フラッド数: 特定のホストから一定の時間内に送信された電子メール・メッセージ数と接続要求数の合計です。この値を超えると、フラッドとみなされます。(デフォルト値=10,000)

  • スパム・フラッド間隔: 「スパム最大フラッド数」パラメータと組み合せて、あるホストがスパムを実行しているかどうかを判断する場合に使用する間隔(分単位)です。(デフォルト値=10)


注意:

現在の製品リリースには不具合(Bug#3236819)があり、「ポリシー」ページの「管理」タブで「サービス拒否攻撃を阻止」パラメータの名称が正しく表示されません。現状、スパム・フラッド間隔と表示される必要のある箇所が「接続」と表示されます。また、「スパム最大フラッド数」と表示される必要のある箇所が「メッセージ」と表示されます。

現在の製品リリースには不具合(Bug#3259793)があり、「スパム最大フラッド数」とスパム・フラッド間隔のデフォルト値が「ポリシー」ページの「管理」タブおよびEnterprise Manager/Unified MessagingのSMTP_INプロセスのパラメータのページに表示されません。


図7 「サービス拒否攻撃を阻止」パラメータ・フィールドが表示された「ポリシー」ページ

サービス拒否攻撃の阻止


送信者および受信者のチェック

次のチェックでは、電子メール・アドレスを「リレー・ブロック」パラメータと照合して検証します。このチェックは、コンピュータのアドレスの検証後に実行されます。

ただし、コンピュータのアドレス、ドメインまたはIPが信頼できる場合、このチェックは実行されません。コンピュータのアドレスが信頼されると、リレーが許可され、それ以上のチェックは実行されません。ただし、「リレー・ブロック」が「認証済」に設定されている場合は、例外的に認証が必要になります。

送信者および受信者の情報は、SMTPセッションのFROM:テキストおよびRCPT TO:テキストから取得されます。 FROM:アドレスにあるドメインや電子メールの完全修飾されたアドレスに対するOracle MTAの概念と動作は、ホスト・アドレスに基づくメールのリレーを制限する場合と同じです。

図8 送信者の承認および拒否パラメータのフィールドが表示された「ポリシー」ページ

承認と拒否



注意:

次に示すすべてのフィールドでは、複数の文字列を指定できます。値は改行で区切ります(1行に1つの値)。

送信者および受信者のチェックに使用するパラメータの値は、次のとおりです。

  • 送信者のドメインからの接続を拒否

    ドメインに接頭辞としてアスタリスク文字(*)を指定して、ドメインを表す1文字以上の文字列を表すことができます。アスタリスクの直後にはピリオド(.)が必要です。末尾が同じ文字列の複数のドメインは、アスタリスクを使用して表すことができません。

  • 送信者のドメインからの接続を承認

    「送信者のドメインからの接続を拒否」フィールドと同じ構文を使用します。

  • 送信者からの接続を拒否

    送信者とは、ユーザー・コンポーネント、アット・マーク(@)およびドメイン・コンポーネントを含む完全修飾されたインターネット電子メール・アドレスです。このフィールドでメタ文字は使用できません。大文字と小文字は区別されません。

  • 送信者からの接続を承認

    「送信者からの接続を拒否」フィールドと同じ構文を使用します。

  • 受信者の拒否

    「送信者からの接続を拒否」フィールドと同じ構文を使用します(図6を参照)。

  • 許可されているリレー・ドメイン

    「送信者のドメインからの接続を拒否」フィールドと同じ構文を使用します(図6を参照)。

この一連のパラメータを使用すると、管理者は、悪意のあるドメインや特定の個人からの電子メール・メッセージをブロックできます。管理者が、電子メール・ドメインspammers.comをブロックすると、ドメインが@spammers.comのすべての電子メール・アドレスを拒否できます。この電子メール・フィルタは、詳細に設定できます。たとえば、よく使用されているドメインの特定の送信者に問題がある場合に、その電子メール・アドレスのみをブロックできます。

Oracle MTAには、受信者の拒否パラメータを使用して、一連の受信者へのメールを拒否する機能もあります。このパラメータのリストには、内部のメール・アカウントまたは外部のメール・アカウントを追加できます。

8 DNS参照によるスパム対策

Oracle MTAに接続を要求するコンピュータは、そのホスト名を渡します。このホスト名がスパマーによって偽装されることがあります。Oracle MTAには、このホスト名の妥当性を検証する機能があります。この機能では、接続要求のIPアドレスと、関連付けられているホスト名をネーム・サーバーから取得します。

DNS参照では、2通りの結果が考えられます。ホスト名が戻された場合は、ホストで指定されている名前に置き換えられます。戻されたこのホスト名がスパム対策チェックに使用されます。ホスト名が戻されなかった場合、またはホスト名のドメイン部分が一致しない場合は、送信者がIPアドレスを偽装していると判断され、接続が拒否されます。

Oracle Emailは、HELO/EHLOドメインおよび送信者のドメインに対してDNSチェックを実行するように構成できます。DNSチェック・パラメータは、Webmailクライアントの「ポリシー」ページの「管理」タブで有効または無効にします。

デフォルトでは、Oracle MTAのすべてのSMTP_INサービスは、DNSチェックを実行するように構成されています。このように、電子メール・サーバーを実行するホストでは、DNS参照が適切に構成されている必要があります。

9 サード・パーティ・ベンダーによるスパム対策

Oracle MTAでは、内容に基づいたスパム対策フィルタは実行しません。この処理については、サード・パーティ・ベンダーに依存しています。ウィルス対策ベンダーがOracle MTAと連携する場合とほぼ同様に、サード・パーティのスパム対策ベンダーはOracleと連携します。組織では、サード・パーティ製のスパム対策をOracle MTAの前面に配置して、スパム対策を構成できます。

10 スパム対策の構成例

この項では、Oracle Emailでのスパム対策の様々な構成例について説明します。この項の使用例は、このマニュアルで説明している概念について理解する場合の参照用として示されています。これらの使用例は、スパム対策構成についてオラクル社が推奨しているもの、または最適な事例ではありません。Oracle Emailのスパム対策パラメータは、各企業のスパム対策要件に基づいて構成する必要があります。


注意:

次の各表に示すスパム対策パラメータ設定は、Webmailクライアントの「ポリシー」ページの「管理」タブで構成します。

使用例1: デフォルトのインバウンド受信者制御

課題:

電子メール・システムで、無効な受信者宛ての電子メールを拒否します。

解決策:

電子メール・システムは、有効な受信者を持たないローカル・ドメイン宛てのメールはデフォルトですべて拒否します。システムは、Oracle Internet Directoryを参照して、ユーザーが有効かどうかをチェックします。

検証:

telnetを使用してSMTPインバウンド・サーバーに接続し、インバウンド受信者制御が機能しているかどうかを検証します。次の例に、ghostが不明な受信者であるセッションを示します。

% telnet kangaroo.wallaby.com 25
Trying 144.21.148.132...
Connected to kangaroo.wallaby.com.
Escape character is '^]'.
220 kangaroo.wallaby.com ESMTP Oracle Email Server SMTP Inbound Server 9.0.4.0.0
Ready
% helo koala.com
250 kangaroo.wallaby.com Hello host1.koala.com, pleased to meet you
% mail from:joe@abc.com250
250 2.1.0 Sender OK
% rcpt to:ghost@wallaby.com
550 5.1.1 Recipient unknown

使用例2: インバウンド受信者制御

課題:

電子メール・システムで、特定の有効な受信者宛ての電子メールを拒否します。

解決策:

指定した受信者宛てのメッセージを拒否するように「受信者の拒否」パラメータを構成します。

スパム対策パラメータの設定 動作
アクティブ=はい

受信者の拒否= emu@wallaby.com

他のすべてのスパム対策パラメータは、変更する必要がありません。空のままにすることができます。(またはNULL)

SMTP_INプロセスは、すべての着信電子メール・メッセージのRcpt toヘッダーを「受信者の拒否」スパム対策パラメータと照合します。

受信者emu@wallaby.com宛てのすべての電子メール・メッセージが拒否されます。

wallaby.com以外のユーザー宛ての電子メール・メッセージは承認されます。


検証:

telnetを使用してSMTPインバウンド・サーバーに接続し、インバウンド受信者制御が機能しているかどうかを検証します。次の例に、ghostが不明な受信者であるセッションを示します。

% telnet kangaroo.wallaby.com 25
Trying 144.21.148.132...
Connected to kangaroo.wallaby.com.
Escape character is '^]'.
220 kangaroo.wallaby.com ESMTP Oracle Email Server SMTP Inbound Server 9.0.4.0.0
Ready
% helo koala.com
250 kangaroo.wallaby.com Hello host1.koala.com, pleased to meet you
% mail from:joe@abc.com250
250 2.1.0 Sender OK
% rcpt to:emu@wallaby.com
550 Spam check failed for recipient's address: emu@wallaby.com

使用例3: リレー・ドメインおよびトラステッド・ドメインの制御

課題:

電子メール・サーバーがオープン・リレーとして使用されないようにします。ただし、wallaby.comからのメッセージは対象外とします。このホストはトラステッド・ドメインで、追加チェックなしでメッセージをリレーできます。

解決策:

*.wallaby.comからの電子メール・メッセージを承認するように、「ホスト・ドメインからの接続を承認」パラメータを構成します。

スパム対策パラメータの設定 動作
アクティブ=はい

リレー・ブロック=False

ホスト・ドメインからの接続を拒否=

ホスト・ドメインからの接続を承認= *.wallaby.com

他のすべてのスパム対策パラメータは、変更する必要がありません。空のまま(またはNULL)にすることができます。

Oracle Emailのスパム対策機能では、拒否リストおよび信頼リストを使用して、メッセージをリレーするホストを規定します。拒否リストが承認リストより優先されます。

ホストが「ホスト・ドメインからの接続を承認」パラメータに指定されており、「ホスト・ドメインからの接続を拒否」パラメータに指定されていない場合、メッセージはこれ以上のスパム・チェックなしでリレーされます。このことは、「リレー・ブロック」パラメータがTrueに設定されている場合にも適用されます。


検証:

telnetを使用してSMTPインバウンド・サーバーに接続し、リレー制御が機能しているかどうかを検証します。次の例に、トラステッド・ドメインがwallaby.comで、ホストkangaroo.wallaby.comがメールを送信しようとしているセッションを示します。

% telnet koala.wallaby.com 25
Trying 144.21.148.132...
Connected to koala.wallaby.com.
Escape character is '^]'.
220 kangaroo.wallaby.com ESMTP Oracle Email Server SMTP Inbound Server 9.0.4.0.0
Ready
% helo wallaby.com
250 koala.wallaby.com Hello kangaroo.wallaby.com, pleased to meet you
% mail from:joe@abc.com
250 2.1.0 Sender OK
% rcpt to:lucy@xyz.com
250 2.1.5 Recipient ok

使用例4: リレーおよび信頼できるIPアドレスの制御

課題:

電子メール・サーバーがメッセージのリレーに使用されないようにします。ただし、信頼できるIPアドレス140.84.68.*からのメッセージは対象外とします。

解決策:

140.84.68.*からの電子メール・メッセージを承認するように、「IPアドレスからの接続を承認」パラメータを構成します。

スパム対策パラメータの設定 動作
アクティブ=はい

リレー・ブロック=False

IPアドレスからの接続を拒否=

IPアドレスからの接続を承認=

140.84.68.*

他のすべてのスパム対策パラメータは、変更する必要がありません。空のまま(またはNULL)にすることができます。

Oracle Emailのスパム対策機能では、拒否リストおよび信頼リストを使用して、メッセージをリレーするホストを規定します。拒否リストが承認リストより優先されます。

ホストが「IPアドレスからの接続を拒否」パラメータに指定されておらず、信頼できるIPアドレスのリストに指定されている場合、メッセージはこれ以上のスパム・チェックなしでリレーされます。このことは、「リレー・ブロック」パラメータがFalseに設定されている場合にも適用されます。


検証:

telnetを使用してSMTPインバウンド・サーバーに接続し、リレー制御が機能しているかどうかを検証します。次の例に、トラステッド・サブネットが140.84.68.*で、IPアドレスが140.84.68.153のホストkangaroo.wallaby.comがメールを送信しようとしているセッションを示します。

% telnet koala.wallaby.com 25
Trying 144.21.148.132...
Connected to koala.wallaby.com.
Escape character is '^]'.
220 kangaroo.wallaby.com ESMTP Oracle Email Server SMTP Inbound Server 9.0.4.0.0
Ready
% helo wallaby.com
250 koala.wallaby.com Hello kangaroo.wallaby.com, pleased to meet you
% mail from:joe@abc.com
250 2.1.0 Sender OK
% rcpt to:lucy@xyz.com
250 2.1.5 Recipient ok

使用例5: トラステッド・ドメインへのリレーの許可

課題:

電子メール・サーバーがtrusted.comドメインへのメッセージのリレーに使用されるようにします。ただし、これ以外のすべてのドメインへのリレーは許可しないものとします。

解決策:

*.trusted.comへのメッセージをリレーするように、「許可されているリレー・ドメイン」パラメータを構成します。

スパム対策パラメータの設定 動作
アクティブ=はい

ホスト・ドメインからの接続を承認= *.wallaby.com

リレー・ブロック=True

許可されているリレー・ドメイン=*.trusted.com

他のすべてのスパム対策パラメータは、変更する必要がありません。空のまま(またはNULL)にすることができます。

「ホスト・ドメインからの接続を承認」パラメータに指定されていないホストからの電子メールの送信を試行した場合は、「許可されているリレー・ドメイン」パラメータに指定されているドメインへのリレーのみが許可されます。

このため、host1.wombat.comからの電子メールの送信を試行すると、joe@trusted.com宛ての電子メールは送信できますが、joey@mail.com宛ての電子メールは送信できません。


検証:

telnetを使用してSMTPインバウンド・サーバーに接続し、リレー制御が機能しているかどうかを検証します。次の例に、トラステッド・ドメインがwallaby.comで、ホストhost1.wombat.comがメールを送信しようとしているセッションを示します。

% telnet koala.wallaby.com 25
Trying 144.21.148.132...
Connected to koala.wallaby.com.
Escape character is '^]'.
220 kangaroo.wallaby.com ESMTP Oracle Email Server SMTP Inbound Server 9.0.4.0.0
Ready
% helo wallaby.com
250 koala.wallaby.com Hello host1.wombat.com, pleased to meet you
% mail from:joe@test.com
250 2.1.0 Sender OK
% rcpt to: joe@yahoo.com
550 Spam check failed for recipient's address: joe@yahoo.com
rcpt to:joe@trusted.com
250 2.1.5 Recipient ok

使用例6: 単一ホストからの接続の承認

課題:

電子メール・システムが特定のホストまたはサブネットからの接続のみを承認し、その他すべてを拒否するようにします。

解決策:

「IPアドレスからの接続を承認」パラメータをトラステッド・ホストに設定し、「送信者のドメインからの接続を拒否」パラメータでメッセージのリレー先を*に設定します。

スパム対策パラメータの設定 動作
アクティブ=はい

IPアドレスからの接続を承認= 140.84.68.153

送信者のドメインからの接続を拒否= *

他のすべてのスパム対策パラメータは、変更する必要がありません。空のまま(またはNULL)にすることができます。

「IPアドレスからの接続を承認」パラメータに指定されている信頼できるIPアドレスから電子メールの送信を試行すると、送信者がjoe@abcでも、電子メール・システムはその電子メールを承認します。これは、信頼できるIPに対してこれ以上のスパム・チェックが必要ないためです。これ以外のIPアドレスからのメッセージは拒否されます。

また、値として140.84.68.*などのサブネットを設定できます。


検証:

telnetを使用してSMTPインバウンド・サーバーに接続し、構成が機能しているかどうかを検証します。次の例に、ホスト名host1.wombat.comの信頼できるIPアドレス140.84.68.153でメールを送信しようとしているセッションを示します。

% telnet koala.wallaby.com 25
Trying 144.21.148.132...
Connected to koala.wallaby.com.
Escape character is '^]'.
220 kangaroo.wallaby.com ESMTP Oracle Email Server SMTP Inbound Server 9.0.4.0.0
Ready
% helo wallaby.com
250 koala.wallaby.com Hello host1.wombat.com, pleased to meet you
% mail from:joe@abc.com
250 2.1.0 Sender OK
% rcpt to: lucy@xyz.com
250 2.1.5 Recipient OK

使用例7: トラステッド・ネットワーク内の特定のホストの拒否

課題:

電子メール・システムが特定のネットワークからの接続を承認し、そのネットワークに存在する特定のホストについては拒否するようにします。

解決策:

「IPアドレスからの接続を承認」パラメータにネットワークのIPアドレスを設定し、「IPアドレスからの接続を拒否」パラメータに信頼されないホストのIPアドレスを設定します。

スパム対策パラメータの設定 動作
アクティブ=はい

リレー・ブロック=False

IPアドレスからの接続を承認= 140.84.68.*

IPアドレスからの接続を拒否= 140.84.68.153

他のすべてのスパム対策パラメータは、変更する必要がありません。空のまま(またはNULL)にすることができます。

「IPアドレスからの接続を拒否」パラメータに指定されている拒否対象のIPアドレスから電子メールの送信を試行すると、電子メール・システムは、トラステッド・ネットワークからであってもその電子メールを拒否します。トラステッド・ネットワークのそれ以外のホストからのメッセージは、任意の宛先へリレーされます。

検証:

telnetを使用してSMTPインバウンド・サーバーに接続し、構成が機能しているかどうかを検証します。 次の例に、ホスト名host1.wombat.comの拒否対象のIPアドレス140.84.68.153でメールを送信しようとしているセッションを示します。

% telnet koala.wallaby.com 25
Trying 144.21.148.132...
Connected to koala.wallaby.com.
Escape character is '^]'.
550 5.7.1 Spam check failed for your IP address
Connection closed by foreign host.

使用例8: リレー制御の組合せ

課題:

ユーザーのネットワーク上に存在する特定のホストをブロックし、外部ネットワークからのスパムをすべてブロックします。

解決策:

ユーザーのネットワーク上にあるホストをブロックするように「IPアドレスからの接続を拒否」パラメータを構成し、外部からのすべてのリレー・メッセージを拒否するように「送信者のドメインからの接続を拒否」パラメータを構成します。

スパム対策パラメータの設定 動作
アクティブ=はい

リレー・ブロック=False

IPアドレスからの接続を承認= 140.84.68.*

IPアドレスからの接続を拒否= 140.84.68.153

送信者のドメインからの接続を拒否= *

他のすべてのスパム対策パラメータは、変更する必要がありません。空のまま(またはNULL)にすることができます。

「IPアドレスからの接続を拒否」パラメータに指定されている拒否対象のIPアドレスから電子メールの送信を試行すると、電子メール・システムは、トラステッド・ネットワークからであってもその電子メールを拒否します。トラステッド・ネットワークのそれ以外のホストからのメッセージは、任意の宛先へリレーされます。これ以外のドメインからのメッセージは拒否されます。

使用例9: 認証を使用したリレーの制御

課題:

ローカル・ドメインに属する有効なIMAPまたはPOP3ユーザーについてのみ、インターネットへのメッセージのリレーを許可します。これは、ISPプロバイダで一般的な構成例です。

解決策:

SMTPインバウンド・サーバーで認証を使用するように構成することによって、有効なユーザー名とパスワードで認証されたユーザーへのリレーのみ許可するようにSMTPインバウンド・サーバーに強制します。

Oracle Enterprise Managerで、SMTPインバウンド・サーバーの「認証」パラメータを「オプション」に設定します。また、スパム対策パラメータを次の表のように設定します。

スパム対策パラメータの設定 動作
アクティブ=はい

リレー・ブロック=認証済

他のすべてのスパム対策パラメータは、変更する必要がありません。空のまま(またはNULL)にすることができます。

拒否リストと信頼リストに関する優先順位のルールが適用されるため、トラステッド・ドメインまたはIPアドレスは認証なしでリレーされます。拒否対象のドメインについては、メッセージはリレーされません。

使用例10: DoS攻撃の阻止

課題:

悪意のあるユーザーがサイトに向けて大量に送信する電子メールが原因でネットワーク接続の消失、システムのクラッシュおよびサービスの障害が発生することを防ぎます。

解決策:

DoS攻撃を阻止するには、スパム・フラッド間隔および「スパム最大フラッド数」パラメータを構成します。単一ホストからのメッセージと接続の総数がスパム・フラッド間隔に指定された時間内に「スパム最大フラッド数」を超えると、フラッドとみなされます。

スパム対策パラメータの設定 動作
アクティブ=はい

スパム最大フラッド数= 200

スパム・フラッド間隔= 2

他のすべてのスパム対策パラメータは、変更する必要がありません。空のまま(またはNULL)にすることができます。

指定したホストからのメッセージと接続要求の総数が2分以内に200を超えると、SMTPインバウンド・サーバーは、そのホストがネットワークにフラッドを発生させようとしていると判断し、その2分が終了するまであらゆるメッセージおよび接続を拒否します。

拒否リストと信頼リストに関する優先順位のルールが適用されるため、トラステッド・ドメインまたはIPアドレスはスパム・チェックなしでリレーされます。


検証:

telnetを使用してSMTPインバウンド・サーバーに接続し、構成が機能しているかどうかを検証します。次の例に、ホスト名host1.wombat.comのIPアドレス140.84.68.153が、kangaroo.wallaby.comのSMTPインバウンド・サーバーに対して、メッセージによるフラッドを発生させようとしているセッションを示します。

% telnet kangaroo.wallaby.com 25
Trying 144.21.148.132...
Connected to kangaroo.wallaby.com.
Escape character is '^]'.
550 5.7.1 Spam check failed for your IP address
Connection closed by foreign host.

11 追加情報

次の表に、「ポリシー」ページのスパム対策パラメータ、およびそれに対応するEnterprise Manager/Unified Messaging SMTP_INのパラメータを示します。

「ポリシー」ページのスパム対策パラメータ Enterprise Manager /Unified Messaging SMTP_INプロセスのスパム対策パラメータ スパム・チェック対象
アクティブ ネイティブのスパム対策
リレー・ブロック リレー許可
サービス拒否攻撃を阻止
接続
メッセージ
スパム・フラッド間隔(分)

スパム最大フラッド数


送信者からの接続を拒否 送信者の拒否 電子メール
送信者からの接続を承認 **パラメータは非表示** 電子メール
送信者のドメインからの接続を拒否 ドメインの拒否 電子メール
送信者のドメインからの接続を承認 **パラメータは非表示** 電子メール
ホスト・ドメインからの接続を拒否 **パラメータは非表示** ホスト
ホスト・ドメインからの接続を承認 トラステッド・ドメイン ホスト
**パラメータは非表示** ローカル・ドメイン ホスト
IPアドレスからの接続を拒否 IPの拒否 IP
IPアドレスからの接続を承認 トラステッドIP IP
受信者の拒否 受信者の拒否 電子メール
許可されているリレー・ドメイン リレー・ドメイン許可 電子メール
helo/ehloドメインでDNSを確認 **パラメータは非表示**
送信者のドメインでDNSを確認 **パラメータは非表示**